enable enabling efficient and operational mobility in ... · 2/22/2007 project overview 2 das...
TRANSCRIPT
ENABLEEnabling Efficient and Operational Mobility in Large
Heterogeneous IP Networks
Projektvorstellung
2Project Overview2/22/2007
Das ENABLE Projekt• Dauer: 2 Jahre• Budget: 3.792 Mio € (406 Mannmonate)
EU-Beihilfe: 2.449 Mio €
• Projekt Partner:Koordinator:
Telecom Italia
Partner:Consulintel (Spanien)Georg-August-Universität GöttingenSiemens AGUniversity of Murcia (Spanien)Industrieanlagen-Betriebsgesellschaft mbH (IABG)Waterford Institute of Technology (Irland)Brunel University (England)Huawei (China)
3Project Overview2/22/2007
Projektziele• Entwicklung von leistungs- und funktionsfähiger Mobilität als Service in
großen IPv6 Netzwerken unter Berücksichtigung des Übergangs IPv4/IPv6
Forschung und Beisteuerung in den diversen Standardisierungsforen (IETF, 3GPP, etc.)Validierung durch Experimente (Prototypen, Tests, etc.)
• ForschungsschwerpunkteVerbesserung von Mobile IPv6 um transparente Mobilität in großen funktionsfähigen Netzen mit mehrfachen administrativen Domains, heterogenen Zugängen und einer schnell wachsenden Anzahl von Benutzern zu ermöglichenVerbesserung der Grundfunktionalität von Mobile IPv6 um „Premium“Dienste (fast handover, QoS, etc.)Analyse von Zielen und von Designgrundregeln für eine langfristige Entwicklung über Mobile IPv6 hinaus
4Project Overview2/22/2007
Ausblick
R R R
IPv4/v6backbone
R R R
Mobile IPv6
Mobile IPv6all-IP network
RR R
RR
R R R
?Mobile IPv6,HIP, others?
RAN RANRAN RAN
Dedicated RANsoptimized for specific services
Today
cellular (2.5-3G)Wireless LANWMAN (WiMAX)
Integration of heterogeneous RANsto offer efficient and cost-effective ubiquitous mobility
MIPv6 is the key
Step 1
Smooth migration to an all-IP network architecture
Step 2
all services over IPMIPv6 with fast handover support
Fully mobile Internet
Step 3
tremendous growth in the number of terminalsMIPv6 might suffer its age
ENABLEZiele
5Project Overview2/22/2007
Forschungsschwerpunkte (I)• Verbesserung der Skalierbarkeit von Mobile IPv6
Dynamische Veränderung von Konfigurationsdaten auf Terminals und HAsLastverteilung zwischen mehreren HAs
• Verbesserung der AusfallsicherheitEntwicklung eine Lösung zur HA-Ausfallsicherung (kein „single point of failure“)
• Steuern von Mobilen DienstenService Authorization basieren auf einer AAA Infrastruktur
• Bereitstellung von „Premium“ NetzwerkdienstenFast Handover, QoS, etc.
• Integration von Mobile IPv6 in reelle NetzwerkeKoexistenz mit Middleboxes (Firewalls, etc.)Einsatz von Mobile IPv6 in ausschließlich IPv4 Netzwerken
6Project Overview2/22/2007
Forschungsschwerpunkte (II)
• Analyse von Protokollen und von Architekturen für langfristige Netzwerkentwicklung
Skalierbarkeit mit einer hohen Anzahl von TerminalsOptimierte Unterstützung für Terminals mit sehr begrenzten Verarbeitungs- und Speicherkapazitäten (z.B. Sensoren)Der Einsatz von Mobile IPv6 ist eventuell nicht ausreichend, daher müssen mögliche langfristige Alternativen oder Weiterentwicklungen sorgfältig ausgewertet werden.
Host Identity Protocol (HIP)
IKEv2 Mobility and Multihoming (MOBIKE)
NETwork based Localized Mobility Management (NETLMM)
…
7Project Overview2/22/2007
ENABLE Referenz Szenario
IPv4Enterprise
PATR
ISPs
MobileOperators
VirtualOperators
Carriers
WLANHotsport
WMAN(IEEE 802.16e)
R R R
Cellular(2.5-3G) IPv4-only
access
NAT
IPv4-onlyaccess
IPv4-onlyaccess
GW
Trains, cars, etc.
Firewall
Services
IPv6Enterprise
R
Services
R
IPv6House
R
On-boardnetwork
AAAMobility
QoS
VPN
MobileNode
R
IPv4House
VPNIPv6
Backbone
SessionControl
8Project Overview2/22/2007
Erwartete Auswirkungen• Das heutige Mobile IPv6 verhindert es, das ENABLE Referenz Szenario
umzusetzen.• ENABLE soll die Probleme in enger Zusammenarbeit mit der IETF
schließen,um sicherzustellen, dass die entwickelten Lösungen in Übereinstimmung mit den architektonischen Grundregeln der Internet-Gemeinschaft sind und vielleicht standardisiert werden.
• Die Forschung in ENABLE erhöht die Fähigkeiten einer zukunftssicheren Mobilitätsinfrastruktur zur Benutzung von der zukünftigen Anwendungen wie pervasive peer-to-peer, audio/video conferencing over IP, emergency services, etc.
• ENABLE trägt auch zur Entwicklung eines langfristigen Ausblicks zum in Zukunft völlig mobilen Internet bei.
9Project Overview2/22/2007
Work Packages
Making Mobile IPv6 environment
friendly
WP1 WP1 -- TITI
WP2 WP2 -- UGOEUGOEReliability and
resource optimization
WP3 WP3 -- IABGIABGEnabling
advanced mobility features
WP4 WP4 -- SiemensSiemensEmerging mobility
approaches
WP5 WP5 -- UMUUMU
Requirementsand scenarios
Technicalsolutions
Operational Mobile IPv6 architecture
Architecturalguidelines
Bootstrappingmechanism
Technical solutionsFeedback
WP0 WP0 -- TITIProject management
WP7 WP7 -- ConsulintelConsulintelDissemination, clustering/liaison and standardization
Impacts
Initialarchitecture
Integration and validationWP6 WP6 -- WITWIT--TSSGTSSG
Coordination
Exploitation of results
SolutionDesign
Tech
. Sol
.
Other IST Projects 3GPPIETFEU/International
related activities IEEE WiMAXForum
10Project Overview2/22/2007
ENABLE System Architektur
MobileNodes (MNs)
R
NAT
R
AR ARAccess
Router/MAP
Firewall
CorrespondentNodes (CNs) Internet or other
IP backbone
R
R
Mobility Service Provider (MSP)
HomeAgents
AAAServersDNS
Other services(QoS, SIP, etc.)
AccessPoints (APs)
R
Other MSPs
R
11Project Overview2/22/2007
Veröffentlichungen
• Resultate und Ergebnisse der Projektarbeit sollen publiziert werden:
Paper, Journale und Publikationen Präsentationen auf unterschiedlichen Events und Konferenzen Testvorführungen und Miteinbeziehung der externen BenutzerKooperation mit anderen vergleichbaren ProjektenStandardisierungstätigkeiten
12Project Overview2/22/2007
ENABLE
• Projekt Webseite:http://www.ist-enable.org
• Projekt-, Bachelor- und Masterarbeiten in ENABLEXiaoming Fu
Firewall traversal for MIPv6: Problem Statement
Mobilkommunikation IIProf. Dr. Dieter HogrefeWS 06/07
14Project Overview2/22/2007
Inhalt
• Firewalls: Funktions- und Arbeitsweise• Mögliche Firewall Platzierungen und daraus resultierende
ProblemeFirewall beschützt MN’s NetzwerkFirewall beschützt HA’s NetzwerkFirewall beschützt CN’s Netzwerk
• Zusammenfassung
15Project Overview2/22/2007
Firewalls: Funktions- und Arbeitsweise
• Firewall entscheiden anhand eines 5-Tupels ob Pakete erlaubt oder verworfen werden:
{ Source IP address, Destination IP address, Protocol type, Sourceport number, Destination port number }
• Die am meisten verbreitete Art von Firewalls ist der Stateful Packet Filters (SPF), welcher das Netzwerk von nicht verlangtem Datenpaketen beschützt.
• SPFs erlauben oder verwerfen Pakete anhand von Informationen aus einer lokalen Zustandstabelle, welche von der Firewall verwaltet wird.
16Project Overview2/22/2007
Mögliche Firewall Platzierungen und daraus resultierende Probleme• Mobile IPv6 definiert MN, HA, CN.• Diese Entitäten können in einem Netzwerk liegen, welches
von einer Firewall beschützt wird. • Daher drei grundlegende Szenarien
Firewall beschützt MN’s Netzwerk,Firewall beschützt HA’s Netzwerk,Firewall beschützt CN’s Netzwerk.
• Diese Platzierungen bringen mehrere Problem mit sich:
17Project Overview2/22/2007
HA
ASA/MSA/MSP
FW
ASP
ASP-AAA
MASA-AAA
Corporatenetwork or
mobile operator
Roamingagreement
(SLA)
1 2
3
Corporatenetwork
MN
Firewall beschützt MN’s Netzwerk (I)
• Problem 1Viele Firewalls verwerfen IPsec Pakete da sie aufgrund der Verschlüsselung nicht feststellen können, ob diese angefordert oder berechtigt sind.Bindung Updates und Binding Acknowledgements können daher verworfen werden.
• Problem 2MN und CN wollen Route Optimization benutzen.Home Test Nachricht des RRT muss mit IPsec verschlüsselt sein.Die Firewall verwirft die Home Test Nachricht und verhindern somit die RRT Prozedur.
18Project Overview2/22/2007
Firewall beschützt MN’s Netzwerk (II)• Problem 3
Annahme: MN hat das Binding Update erfolgreich zum HA geschickt.Anschließender Datenverkehr wird vom HA gesendet.Da für diese Art von Verkehr keine States in der Firewall existieren, werden die Pakete verworfen.
• Problem 4Firewalls können CN‘s an der Kommunikation hindern,
weil ankommende Pakete aufgrund nicht existierende States in der Firewall verworfen werden.
• Problem 5Wenn der MN in ein anderes Netzwerk roamt und dieses durch eine Firewall beschützt wird, werden alle neu ankommenden Pakete verworfen, da für diese keine States existieren.
19Project Overview2/22/2007
HA
ASA/MSA/MSP
ASP
MASA-AAA
FW
1b2
MN
1a
Firewall beschützt HA’s Netzwerk
• Problem 1Firewall beschützt den Home Agent und verwirft IPsec Pakete.IPsec verschlüsselte MIPv6 Signalisierungsnachrichten (Binding Update, HoT) werden von der Firewall verworfen.Dies hindert den MN daran Bindung Updates zu senden und Route Optimization zu benutzen.
• Problem 2Firewall verwirft Verbindungsaufbauanfragenvom CN und MN, da für diese keine Statesexistieren.
20Project Overview2/22/2007 ASP of MN ASP of CN
MNCN
FW
HA
MASA-AAA
ASA/MSA/MSP
1b
3b
2a/b
1a
ASP-AAA
Firewall beschützt CN’s Netzwerk (I)
• Problem 1Care of Test Init Nachricht wird mit der CoA des MN’s als Herkunftsadresse gesendet. Dieses Paket entspricht keinem Eintrag in der Firewall und die CoTI Nachricht wird verworfen.Daher kann die RRT Prozedur nicht beendet werden und Route Optimisation ist nicht einsetzbar.
21Project Overview2/22/2007
Firewall beschützt CN’s Netzwerk (II)
• Problem 2Annahme: Bindung Update zum CN war erfolgreich.Die Firewall wird weiterhin Pakete die von der CoA kommen verwerfen, da diese keinem Eintrag in der Firewall entsprechen.
22Project Overview2/22/2007
Forschung in ENABLE• Forschungsschwerpunkt von WP2 in ENABLE ist es, die Mobile IPv6
Signalisierung in Gegenwart von Firewalls zu ermöglichen.• Dynamische Konfiguration von Firewalls um Ende-zu-Ende
Kommunikationsszenarien das Durchschreiten dieser Firewalls zu ermöglichen.
• Es gibt mehrere mögliche „Middlebox traversal“ Lösungen:Application Layer Gateways (ALGs)Middlebox Communication - MIDCOMNSIS und NAT/FW NSLPPolicy Based Networks (PBN)VPN Ansätze
• Diese Ansätze werden momentan innerhalb von ENABLE analysiert und eine Lösung für „Mobile IPv6 Firewall Traversal“ entwickelt.
23Project Overview2/22/2007
Zusammenfassung
• Firewalls können – abhängig von ihrer Platzierung – den Einsatz von Mobile IPv6 unmöglich machen.
• Mögliche Firewall Platzierungen:Firewall beschützt MN’s NetzwerkFirewall beschützt HA’s NetzwerkFirewall beschützt CN’s Netzwerk
• Probleme resultieren großenteils daher das,viele Firewalls IPsec Pakete verwerfen da sie aufgrund der Verschlüsselung nicht feststellen können, ob diese angefordert oder berechtigt sind.Stateful Packet Filter (SPF) das Netzwerk vor nicht angeforderten Datenpaketen beschützen und daher Pakete die keinem Eintrag in der Zustandstabelle entsprechen, verwerfen.